プライベート サービス アクセスの設定

プライベート サービス アクセスとは、VPC ネットワークと VMware Engine のネットワーク間のプライベート接続のことです。このページでは、Google Cloud VMware Engine へのプライベート サービス アクセスを設定し、VPC をプライベート クラウドに接続する方法について説明します。

プライベート サービス アクセスにより、次のことが可能になります。

  • VPC ネットワーク内の仮想マシン(VM)インスタンスと VMware VM の内部 IP アドレスによる排他的通信。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
  • VMware VM と、内部 IP アドレスを使用したプライベート サービス アクセスをサポートする Google Cloud のサポート サービスの間の通信。
  • Cloud VPN または Cloud Interconnect を使用して VPC ネットワークに接続しているオンプレミス接続がある場合、既存のオンプレミス接続を使用して VMware Engine プライベート クラウドに接続します。

プライベート サービス アクセスは、VMware Engine のプライベート クラウドの作成とは別に設定できます。プライベート接続は、VPC を接続するプライベート クラウドの作成前か作成後に作れます。

特定のリージョンでは、プライベート サービス アクセスを使用して、VMware Engine から VPC ネットワークへの一意のルートを最大で 100 まで設定できます。これには、プライベート クラウド管理アドレス、NSX-T ワークロード セグメント、HCX ネットワーク アドレスなどがあります。

始める前に

  1. VMware Engine に接続するときに使用する既存の VPC ネットワークが必要です。
  2. Cloud VPN に基づくオンプレミス接続がある場合は、Cloud VPN セッションに接続されている VPC ネットワークを選択します。Cloud Interconnect に基づくオンプレミス接続がある場合は、Cloud Interconnect VLAN アタッチメントが終端される VPC ネットワークを選択します。
  3. プロジェクトで Service Networking API を有効にします
  4. プロジェクト オーナーとネットワーク管理者のロールを持つ IAM メンバーは、割り振られる IP 範囲を作成し、プライベート接続を管理できます。詳細については、IAM のロールと権限をご覧ください。
  5. プライベート サービス接続用のアドレス範囲と、プライベート クラウド管理とワークロードのネットワーク セグメントを割り当てる必要があります。これにより、VPC とネットワーク サブネットの間で IP アドレスの競合が発生せず、VMware Engine で使用する IP アドレスが確保されます。

マルチ VPC 接続

VMware Engine を使用すると、Google Cloud にデプロイされている既存の VPC アーキテクチャを変更することなく、異なる VPC から同じプライベート クラウドにアクセスできます。たとえば、テスト、開発、および財務、人事などの異なる部門グループ用に別々の VPC がある場合は、マルチ VPC 接続が役立ちます。この状況では、VPC は、VMware VM または別々の vSphere リソース グループの他の宛先アドレスと、同じプライベート クラウドまたは複数のプライベート クラウドにわたって通信する必要があります。

デフォルトでは、リージョンごとに 3 つの VPC をピアリングできます。この上限には、インターネット アクセスとパブリック IP サービスで使用される VPC ピアリングが含まれます。上限を引き上げる場合は、Cloud カスタマーケアまでお問い合わせください

共有 VPC

共有 VPC を使用する場合は、ホスト プロジェクトで割り振られた IP 範囲とプライベート接続を作成します。通常、ホスト プロジェクトのネットワーク管理者がこれらの作業を行う必要があります。サービス プロジェクトの VM インスタンスでは、ホスト プロジェクトの設定後にプライベート接続を使用できます。

プライベート接続の作成

  1. プライベート サービス アクセスの構成の説明に従い、Google Cloud プライベート サービスのアクセス サービス間で共有される VPC ネットワークにアドレス範囲を割り振ります。
  2. プライベート接続の作成の手順を行います。
  3. プライベート接続が正常に作成されると、VPC のプライベート サービス接続テーブルに servicenetworking-googleapis-com という名前の接続がリストされます。
  4. servicenetworking-googleapis-com プライベート接続でカスタムルートのインポートとエクスポートを有効にします。詳細については、ピアリング接続の更新をご覧ください。

VMware Engine ポータルでプライベート接続の作成を完了する

  1. [VPC ネットワーク ピアリング] に移動します。servicenetworking-googleapis-com という名前の VPC ネットワーク ピアリング接続がピアリング テーブルに表示されます。
  2. ピアリングされたプロジェクト ID をコピーして、VMware Engine ポータルでプライベート接続を設定するときに使用できるようにします。
  3. VMware Engine ポータルにアクセスします
  4. [Network] > [Private connection] に移動します。
  5. [Add Private Connection] をクリックします。
  6. [Peer Project ID] フィールドと [Peer Project Number] フィールドに、ピアリングする VPC を含む Google Cloud プロジェクトのプロジェクト ID と番号を入力します。これらの値を取得する方法については、プロジェクトの識別をご覧ください。
  7. [Peer VPC ID] フィールドに、ピアリング先の VPC の名前を入力します。VPC の ID を取得する方法については、ネットワークの表示をご覧ください。
  8. [Tenant project ID] フィールドに、手順 2 でコピーしたピアリングしたプロジェクト ID の値を貼り付けます。
  9. 接続先の VMware Engine リージョンを選択します。
  10. この VPC ネットワーク ピアリング接続のルーティング モードを選択します。ほとんどの場合、グローバル ルーティング モードを選択することをおすすめします。VPC とピアリングしている Google サービスがリージョン間で通信しないようにする場合は、リージョン ルーティング モードを選択します。これにより、既存のルーティング モードがオーバーライドされます。
  11. [Submit] をクリックします。

[Region status] が [Connected] の場合、対応するリージョンのプライベート接続を選択できます。[Private connection details] ページには、プライベート接続のルーティング モードと VPC ピアリングで学習されたルートが表示されます。

[Exported routes] には、リージョンから学習し、VPC ピアリング経由でエクスポートされるプライベート クラウドが表示されます。複数の VPC が同じ VMware Engine リージョン ネットワークにピアリングされている場合、一方の VPC から受信したルートが他の VPC にアドバタイズされません。